Embed Size (px)
Citation preview
THE FUTURE OF CYBERSECURITY
AT THE INTERSECT ION OF CLOUD AND
BLOCKCHA IN
Jim Reavis
CEO, Cloud Security Alliance
C O P Y R I G H T © 2 0 1 9 C L O U D S E C U R I T Y A L L I A N C E
クラウドと ブロックチェーンの クロスする所: そこに
サイバーセキュリティ の
未来がある
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E State of Cloud クラウドの現在
• クラウドは今や世界的にITシステムの主流に
• クラウド向けインフラ投資は2018年に初めて従来型ITを超えた(Source IDC)
• 新規のITプロジェクトでは”Cloud First”戦略を適用
• 産業界の雄はクラウドの雄でもある
• クラウドはなぜ強いか?
• Agility アジリティ
• Cost コスト
• 開発者の選好 - 止めることはできない!
• トップレベルのCSPはオンプレミスのITよりセキュア
• クラウドはすでに成熟- CSAはすでに10年経過!
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E
Cloud is the Platform for Cybersecurity
• クラウドから他のすべてのITシステムにセキュリ
ティを提供: Security-as-a-Service
• クラウドがセキュリティにおけるAIとデータサイエ
ンス活用の主要なプラットフォームに
• クラウドがDevOpsとDevSecOpsのプラット
フォームに
• エンタープライズアーキテクチャにおいてクラウ
ドが卓越してセキュリティを実現
• Immutable containers
• Serverless computing
• Software defined perimeter (SDP)
• Continuous deployment (CD/CI)
Immutable Container Pipeline
クラウドはサイバーセキュリティのプラットフォームに
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E
What are the Cloud & Big Tech Concerns?
• クラウドの巨大化はリスクの一点集中の懸念をもたらす
• コンピューティングの広がり(Cloud, Big Data, IoT, etc)はプライバシー侵害に結びつく
のか?
• GDPRが最終のプライバシー規制ではない。 さらに続く。 より厳しい要求とともに
• 将来は、セキュリティが満たせなければ、PIIのデータベースを持つことが許されなくなる
• 巨大クラウドはあなたのすべてを知っている? あなたが知るより早く?
• 一部の強大なハイテク企業がITの未来を決めるのか?
クラウドと Big Tech において、何が心配か?
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E
Blockchain
• ブロックチェーンとは:暗号(仮想)通貨の中核をなす不可変
のロギングインフラ
• その他の多くの用途に利用されつつある: サプライチェー
ン、金融部門以外における取引
• 急速に改良が進んでいる
• 実装方法の多様化: Permissioned vs permissionless,
Consensus models, Chaining, Forking
• NISTによる定義:
https://nvlpubs.nist.gov/nistpubs/ir/2018/NIST.IR.8202.pdf
• ”銀の弾丸”(万能の解決策)ではないが、有力な方法でイン
ターネットとクラウドを変容させる力があると考えている
ブロックチェーン
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E
Cybersecurity at the Intersection of Cloud &
Blockchain
• クラウド+ブロックチェーン+コミュニティ(人)
• クラウドのパフォーマンス、スケール、自律性、俊敏性
• ブロックチェーンのプライバシー、不可変性、セキュリティ
• ブロックチェーンはクラウドの上にセキュリティ、透明性、説
明責任のレイヤーを提供し、ユーザの利用に供する
• クラウドとブロックチェーンを結び付け、アプリケーション
を再構築し、サイバーセキュリティを変革しなければなら
ない
• CSAはこの巨大な構想を引き受け、サイバーセキュリティ
とプライバシーから選出した課題に適用していく
• CSAラボは、必要な技術の開発に集中的に取り組む
Labs
クラウドとブロックチェーンの交点に位置するサイバーセキュリティ
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E
First Blockchain Project: OpenCPEs (1/2)
• コンセプトは2017年に書かれた以下のブログによる
• https://www.linkedin.com/pulse/blockchain-solution-industry-credentialing-jim-reavis/
• CPE = Continuing Professional Education (継続的専門教育)
• プロフェッショナルたちの仕事は仮想通貨と近いところにあるの
で、ブロックチェーンの実装にも対応できるとの発想から
• CSAラボは、CSAのCPE基準に基づく疑似仮想通貨であるCentsiを開発中
• 利用者は実際の達成値に基づいた評価を受け、CSAはセキュリ
ティのプロの能力をより正しく評価できる
• 最初のオープンCPEブロックチェーンは、CSAが提供するこの分
野で第一の資格証明であるCCSK (Certificate of Cloud Security
Knowledge)を取得するプロフェッショナルたちに提供される
ブロックチェーンプロジェクト第1号:オープンC P E (1/2)
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E
First Blockchain Project: OpenCPEs (2/2)
• 利用例1: セキュリティ企業がコードの中の脆弱性を発見したセ
キュリティ研究者に報奨としてCentsiのクレジットを提供
• 利用例2: セキュリティのコンファレンスに参加したユーザが、
Centsiのクレジットを得られる専用QRコードを写真に撮って持
ち帰る
• 利用例3: その他のセキュリティ団体が報奨にCentsiクレジットを
利用する
• 利用例4: 企業は、初心者レベルのCISSPと業界経験1万時間の
CISSPを容易に見分けられる
• 経験に対するクレジットを効率的に取得できる
• 働く人は実際の達成値に対する評価が得られ、雇用側はセキュ
リティのプロフェッショナルの能力をより正しく評価できる
ブロックチェーンプロジェクト第1号:オープンC P E (2/2)
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E
OpenCPEs Framework
• CSA OCLs (Open Cybersecurity Ledgers):パブリックまたはプライベートのブ
ロックチェーンとAPI。オープンCPEとその他の将来のプロジェクトのプラットフォーム
• ¢entsi :疑似仮想通貨。 CPEやその他の達成値の計測単位
• CyberCV :セキュアな¢entsi用デジタルウォレット。 オープンCPEの価値表示を提供
• Privacy First. :ブロックチェーン内には個人情報(PII)なし。 Secure Proofsによる
ハッシングだけ
• 次のプロジェクトでは、監査の実施プロセスを変革するのにブロックチェーンを活用
オープンC P E のフレームワーク
CO
PY
RIG
HT
© 2
019
CL
OU
D S
EC
UR
ITY
AL
LIA
NC
E
クラウドはITシステム。 ブロックチェーンは世界をカバーするトラストの台帳 その組み合わせこそが、サイバーセキュリティの未来
H T T P S : / / C L O U D S E C U R I T Y A L L I A N C E . O R G / 11
Contact CSA
Email: [email protected]
Twitter: @Cloudsa
Site: www.cloudsecurityalliance.org
Site: https://opencpes.com/
Thank You!
